Security Lab

Downloader.Lunii

Downloader.Lunii

Downloader.Lunii – программа-троян, которая пытается загрузить удаленные файлы и отключить adware программы.

Downloader.Lunii – программа-троян, которая пытается загрузить удаленные файлы и отключить adware программы.

При запуске программа выполняет следующие действия:

1. Загружает и выполняет следующие файлы 

  •	%Windir%\toolbar.exe 
  •	%Windir%\mstasks1.exe 
  •	%system%\dktime.exe 
  •	%system%\dk.exe 
  •	%system%\dk32.exe 
  •	%system%\sexxx.exe
2. Завершает следующие процессы, которые могут принадлежать adware программам: 
  •	lpt.exe 
  •	ir.exe 
  •	intron.exe 
  •	intronet.exe 
  •	twink64.exe 
  •	usb.exe 
  •	teur.exe 
  •	host32.exe 
  •	sidefind.exe 
  •	alchem.exe 
  •	powerscan.exe 
  •	bdl74125.exe 
  •	Installer2.exe 
  •	ttgkirnl.exe 
  •	bargains.exe 
  •	WinClt.exe 
  •	Winad.exe 
  •	istsvc.exe 
  •	actalert.exe 
  •	optimize.exe 
  •	iinstall.exe 
  •	fnnmqi.exe 
  •	exdl.exe 
  •	printer.exe 
  •	printer32.exe 
  •	ykyrtws.exe 
  •	loadclean.exe 
  •	telnet.exe
3. Удаляет следующие файлы: 
  •	%Temp%\bdl74125.exe 
  •	%Temp%\Installer2.exe 
  •	%Temp%\msbb.exe 
  •	%System%\host32.exe 
  •	%System%\telnet.exe.tmp 
  •	%System%\mouse.exe 
  •	%System%\com.exe 
  •	%System%\fnnmqi.exe 
  •	%System%\exdl.exe 
  •	%System%\exe2bin.exe 
  •	%System%\exul.exe 
  •	%System%\fastopen.exe 
  •	%System%\mscdexnt.exe 
  •	%System%\printer.exe 
  •	%System%\printer32.exe 
  •	%System%\ykyrtws.exe 
  •	%System%\lpt.exe 
  •	%System%\ir.exe 
  •	%System%\intron.exe 
  •	%System%\intronet.exe 
  •	%System%\twink64.exe 
  •	%System%\usb.exe 
  •	%Windir%\alchem.exe 
  •	%Windir%\adp8027_ISEARCHTECH5.exe 
  •	%Windir%\preInsTT.exe 
  •	%Windir%\preInsln.exe 
  •	%Windir%\preInMPP.exe 
  •	%Windir%\loadclean.exe
4. Удаляет следующие значения: 
  •	"Ukbybc" 
  •	"ControlPanel" 
  •	"alchem" 
  •	"BullsEye Network" 
  •	"dmesewxqtj" 
  •	"Internet Optimizer" 
  •	"IST Service" 
  •	"Power Scan" 
  •	"Winad Client"
из ключа реестра: 
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
5. Удаляет все записи в следующем ключе реестра: 
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
6. Перезаписывает host файл: 
  127.0.0.3 allforadult.com
  127.0.0.3 www.allforadult.com
  127.0.0.3 www.iframe.biz
  127.0.0.3 iframe.biz
  127.0.0.3 www.newiframe.biz
  127.0.0.3 newiframe.biz
  127.0.0.3 www.vesbiz.biz
  127.0.0.3 vesbiz.biz
  127.0.0.3 www.pizdato.biz
  127.0.0.3 pizdato.biz
  127.0.0.3 www.aaasexypics.com
  127.0.0.3 aaasexypics.com
  127.0.0.3 www.virgin-tgp.net
  127.0.0.3 virgin-tgp.net

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь